Die Kriminalpolizei warnt vor der perfiden Betrugsmasche Business E-Mail Compromise (BEC). Dabei geben sich die Täter per E-Mail als vertrauenswürdiger Geschäftspartner, Vorgesetzter oder Dienstleister aus und bringen Unternehmen, Behörden oder öffentliche Einrichtungen dazu, hohe Summen auf betrügerische Konten zu überweisen.
„Dieses Vorgehen kann Firmen jeder Größe treffen. Die E-Mails wirken oft völlig glaubwürdig und enthalten meist keine Schadsoftware in Anhängen und Links, nur eine scheinbar harmlose Zahlungsanweisung. Der klassische Spam-Filter greift daher nicht. Die Schadenssummen sind oft erheblich. Angriffe richten sich aktuell besonders gegen Unternehmen, die an Ausschreibungen auf europäischer Ebene beteiligt sind.“, so Erster Kriminalhauptkommissar Markus Hahn von der Kripo Bayreuth.
So funktioniert der Betrug:
Kriminelle fälschen gezielt E-Mail-Absender und imitieren interne Kommunikationsmuster, um Mitarbeitende unter Druck zu setzen. Besonders häufig beobachten wir:
- Aufforderung zu dringenden Überweisungen an neue Konten
- Vermeintlich vertrauenswürdige Absender (z.B. angeblich Chef, Lieferant oder Geschäftspartner)
- Appelle an Diskretion und Eile unter Umgehung üblicher Freigabeprozesse
- Auffälligkeiten wie ungewöhnliche Schreibweise, plötzlicher Sprachwechsel oder verdächtige E-Mail-Domains
So können sich Unternehmen und Behörden schützen:
Zahlung niemals ungeprüft freigeben
- Wenden Sie immer das Vier-Augen-Prinzip an!
- Lassen Sie sich neue oder geänderte Kontodaten telefonisch rückbestätigen!
- Geben Sie niemals Zahlungen ausschließlich auf Basis einer E-Mail frei!
E-Mail-Absender genau prüfen
- Achten Sie auf Buchstabendreher, ungewöhnliche Domains oder gefälschte Signaturen (Beispiel: @fírma.de anstelle von @firma.de – Haben Sie den Unterschied bemerkt?)
- Kontaktieren Sie den Absender im Zweifel immer über offizielle Kommunikationswege, nicht über die verdächtige E-Mail!
Technische Sicherheit ausbauen – mehr als nur starke Passwörter
- Verwenden Sie die Multi-Faktor-Authentifizierung – also ein Sicherheitsverfahren, bei dem mehrere Nachweise der Identität verlangt werden, bevor jemand auf ein System zugreifen darf (Beispiele: Passwort, Smartphone, Biometrie)!
- Nutzen Sie E-Mail-Sicherheitsprotokolle wie SPF, DKIM und DMARC, um zu verhindern, dass Ihre Domain für betrügerische Mails missbraucht wird!
Mitarbeitende gezielt schulen
- Sensibilisieren Sie Ihre Teams und etablieren Sie klare Prozesse zur Prüfung von Rechnungen und Zahlungsanweisungen!
- Informieren Sie bei Auffälligkeiten Ihre Kolleginnen und Kollegen!
Im Verdachtsfall:
- Stoppen Sie die Zahlung und informieren Sie Vorgesetzte, IT-Abteilung und Bank!
- Beantworten Sie die E-Mail nicht und klicken Sie keine Anhänge oder Links an!
- Schalten Sie die Polizei ein und sichern Sie die Betrugs-E-Mail!
Sprechen Sie in Ihrem Umfeld über diese Betrugsmasche und helfen Sie so Unternehmen und Einrichtungen zu schützen!